-
09/04/2020
-
85
-
553 bài viết
Nhóm hacker 'Gallium' sử dụng mã độc mới PingPull trong các cuộc tấn công gián điệp mạng
Nhóm tấn công APT từ Trung Quốc có tên Gallium đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.
Gallium còn được gọi là Soft Cell nổi tiếng với các cuộc tấn công chủ yếu nhắm vào các công ty viễn thông từ năm 2012. Băng đảng này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên năm qua, nhóm đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.
Palo Alto Networks Unit 42 cho biết trong một nghiên cứu: PingPull là backdoor "khá khó phát hiện" vì nó sử dụng giao thức Internet Control Message Protocol (ICMP - giao thức bản tin điều khiển Internet) cho các giao tiếp lệnh và điều khiển (C&C).
PingPull dựa trên ngôn ngữ Visual C ++, khiến kẻ xấu có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.
Các nhà nghiên cứu cho biết: "Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C2 sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C2. Máy chủ C2 sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống."
Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C2 thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với băng đảng Gallium từ cuối năm 2020.
Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.
Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C2 trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ."
Gallium còn được gọi là Soft Cell nổi tiếng với các cuộc tấn công chủ yếu nhắm vào các công ty viễn thông từ năm 2012. Băng đảng này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên năm qua, nhóm đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.
Palo Alto Networks Unit 42 cho biết trong một nghiên cứu: PingPull là backdoor "khá khó phát hiện" vì nó sử dụng giao thức Internet Control Message Protocol (ICMP - giao thức bản tin điều khiển Internet) cho các giao tiếp lệnh và điều khiển (C&C).
PingPull dựa trên ngôn ngữ Visual C ++, khiến kẻ xấu có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.
Các nhà nghiên cứu cho biết: "Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C2 sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C2. Máy chủ C2 sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống."
Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C2 thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với băng đảng Gallium từ cuối năm 2020.
Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.
Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C2 trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ."
Theo Thehackernews
Chỉnh sửa lần cuối: